Chap-1-Notions de Base de La SI-AG

Notions de base
de la Sécurité Informatique
CHAPITRE 1
Par : Ali GHORBEL
Ali.ghorbel@esprit.tn
Présentation du module : Sécurité Informatique
Objectifs:
Illustrer les différents risques et sources de menaces dans les réseaux
informatiques/applications Web.
Identifier les principales failles et vulnérabilités dans les réseaux
informatiques/applications Web.
Comprendre les concepts principaux de la cryptographie et le fonctionnement
des différents moyens cryptographiques (chiffrement symétrique/asymétrique,
signature numérique et certificat)
Tester la sécurité de votre réseau/application,
Mettre en place une architecture réseau sécurisée
Manipuler les solutions (outils et équipements) et les techniques de sécurité
réseaux
Exploiter les outils de test des principales vulnérabilités Web.
Appliquer des correctifs pour sécuriser les applications Web.
Acquérir un niveau intermédiaire dans le domaine de la sécurité informatique en
réalisant différents scénarios pratiques.
Durée:
21H = Cours (14 H) + Labs (7H)
Pré-requis:
Bonnes connaissances de Linux en ligne de commande
Connaissances Réseaux informatiques
Connaissances Développement Web
Notions de base Android
Mode d’évaluation:
Contrôle Continu (Labs+workshop) * 40% + Examen Final écrit * 60%

Acquis:
 Chap1: Notions de base de la sécurité Informatique

 Chap 2: Attaques réseau
 Chap 3: Techniques de la Cryptographie
 Chap4: Architecture de Sécurité Réseau
 Chap 5: Les Réseaux Virtuels Privées (VPN)
 Chap 6: Sécurité des applications Web
 Workshop: Sécurité des applications mobiles
CHAPITRE 1
Notions de base
Concepts clés
Les enjeux de la sécurité informatique

Les métiers de la sécurité informatique
Les objectifs de la sécurité : Confidentialité/Intégrité
/Disponibilité/Authentification/Non-répudiation
Terminologie de la sécurité : Vulnérabilité,
menace/agent de menace, risque, exposition, contre-
mesure/protection.
Panorama de quelques menaces et attaques
-1-
Les enjeux de la sécurité des S.I.
a) Préambule
b) Les enjeux
c) Pourquoi les pirates s’intéressent aux S.I. ?
d) La nouvelle économie de la cybercriminalité
e) Les impacts sur la vie privée
f) Quelques exemples d’attaques

1. Les enjeux de la sécurité des S.I.
a. Préambule
Système d’Information (S.I.)
Ensemble des ressources destinées à collecter, classifier, stocker,

gérer, diffuser les informations au sein d’une organisation
Mot clé : information, c’est le « nerf de la guerre » pour toutes les

entreprises, administrations, organisations, etc.
Le S.I. doit permettre et faciliter la mission de l’organisation

a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux
processus métiers
et informations
actifs supports
site personne matériel réseau logiciel organisation
ISO/IEC 27005:2008
La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens
b. Les enjeux
• La sécurité a pour objectif de réduire les risques pesant sur le

système d’information, pour limiter leurs impacts sur le
fonctionnement et les activités métiers des organisations…
• La gestion de la sécurité au sein d’un système d’information n’a pas

pour objectif de faire de l’obstruction. Au contraire :
– Elle contribue à la qualité de service que les utilisateurs sont en

droit d’attendre
– Elle garantit au personnel le niveau de protection qu’ils sont en droit

d’attendre
b. Les enjeux
Impacts financiers Impacts sur l’image

et la réputation
Sécurité
des S.I.
Impacts juridiques Impacts
et réglementaires organisationnels
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations

ou au PC d’individus ?
• Les motivations évoluent
– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies
• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations
ou au PC d’individus ?
• Gains financiers (accès à de l’information, puis monétisation et revente)

– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires
• Utilisation de ressources (puis revente ou mise à disposition en tant que

« service »)
– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
– Zombies (botnets)
• Chantage
– Déni de service
– Modifications des données
• Espionnage
– Industriel / concurrentiel
– Étatique
• …
Pourquoi des attaques de réseaux ont-elles lieu (1/2)

Des intrus tentent de compromettre la sécurité des réseaux et des applications
pour diverses raisons :
Vengeance. Un intrus peut estimer avoir subi un affront de la part d’une
organisation et souhaite s’en prendre à elle. Il arrive que d’anciens employés
attaquent leurs anciens employeurs par vengeance. Ce type d’intrus est
particulièrement dangereux par sa connaissance intime du réseau et sa
motivation personnelle.
Espionnage. Un intrus peut espionner une organisation ou un gouvernement
afin d’obtenir des secrets. Ce type d’intrus est souvent motivé par le patriotisme
ou l’appât du gain.
Pourquoi des attaques de réseaux ont-elles lieu (2/2)

Publicité. Un intrus peut attaquer un réseau ou une application pour se faire
connaître auprès du public ou pour se faire de la publicité pour ses propres
services. Les intrus à la recherche de publicité font souvent état de leurs
attaques.
Satisfaction personnelle. Un intrus peut attaquer des réseaux comme
passetemps, pour le défi que cela représente ou pour son autosatisfaction. Ce
type d’intrus est dangereux par les efforts qu’ils déploie à attaquer n’importe
quel réseau.
Terrorisme. Un intrus peut attaquer un réseau dans le cadre d’une opération
de terrorisme d’état ou émanant d’un groupe. Il s’agit des types d’intrus les plus
graves car il se peut que des vies humaines soient alors en danger.
Qui attaque des réseaux ?
Les intrus, quelles que soient leurs aptitudes et leurs motivations, sont dangereux pour la
sécurité d’un réseau à titres divers :
Novice. La plupart des intrus ne possèdent que des connaissances informatiques
rudimentaires, mais ils sont néanmoins dangereux parce qu’il est fréquent qu’ils ne
réalisent pas totalement les conséquences de leurs actions.
Intermédiaire. Les intrus possédant des connaissances intermédiaires tentent souvent
de s’attirer du respect de la part des communautés de hackers. Ils attaquent généralement
des cibles importantes ou créent des outils automatisés permettant à des tiers d’attaquer
des réseaux.
Avancés. Les intrus très compétents représentent un sérieux défi pour la sécurité d’un
réseau parce que leurs méthodes d’attaque peuvent ne pas se cantonner à la technologie,
mais inclure une intrusion physique et la manipulation des structures sociales, ou encore
tromper un utilisateur ou un administrateur afin d’obtenir des informations. Bien qu’il
existe relativement peu d’intrus hautement qualifiés, leurs talents et leur expérience font
d’eux les intrus les plus dangereux pour un réseau.
d. La nouvelle économie de la cybercriminalité
d. La nouvelle économie de la cybercriminalité
le prix moyen de commercialisation des numéros de

de 2 à10 $ cartes bancaires en fonction du pays et des plafonds
le tarif moyen de location pour 1 heure d’un botnet,

5$ système permettant de saturer un site internet
2.399 $ le prix de commercialisation du malware « Citadel »

permettant d’intercepter des numéros de carte bancaire
(+ un abonnement mensuel de 125 $ )
e. Les impacts de la cybercriminalité sur la vie privée (quelques

exemples)
• Impact sur l’image / le caractère Ces impacts – non exhaustifs – ne
signifient pas qu’il ne faut pas utiliser
/ la vie privée Internet, loin de là !
– Diffamation de caractère
– Divulgation d’informations personnelles Il faut au contraire apprendre à anticiper
– Harcèlement / cyber-bullying ces risques et à faire preuve de
discernement lors de l’usage
• Usurpation d’identité d’Internet/smartphones…
– « Vol » et réutilisation de logins/mots de
passe pour effectuer des actions au nom de la victime
• Perte définitive de données
– malware récents (rançongiciel) : données chiffrées contre rançon
– connexion frauduleuse à un compte « cloud » et suppression malveillante
de l’ensemble des données
• Impacts financiers
– N° carte bancaire usurpé et réutilisé pour des achats en ligne
– Chantage (divulgation de photos ou d’informations compromettantes si non
paiement d’une rançon)
e. Les impacts de la cybercriminalité sur les infrastructures critiques
Infrastructures critiques = un ensemble d’organisations parmi les

secteurs d’activité suivants, et que l’État considère comme étant
tellement critiques pour la nation que des mesures de sécurité
particulières doivent s’appliquer
 Secteurs étatiques : civil, justice, militaire…
 Secteurs de la protection des citoyens : santé, gestion de l’eau,
alimentation
 Secteurs de la vie économique et sociale : énergie,
communication, électronique, audiovisuel, information, transports,
finances, industrie.
f. Exemples de cyber-attaques célèbres:


f. Exemples de cyber-attaques célèbres: Sony Pictures Entertainment
GOP pour Guardian of Peace
Des données internes ont été publiées
contenant :
 les numéros de sécurité sociale et les
numérisations de passeport appartenant
aux acteurs et directeurs.
 des mots de passe internes
 des scripts non publiés
 des plans marketing
 des données légales et financières
 et 4 films entiers inédits
La probabilité de vol d’identité est très forte
désormais pour les personnes dont les
informations ont été publiées.
« Si vous n’obéissez pas, nous publierons au Les studios concurrents de Sony, ont une
monde les informations suivantes ». Ce message visibilité sur les plans stratégiques de Sony.
était affiché sur plusieurs ordinateurs de Sony
Pictures Entertainment le 24 nov 2014
La source de l’attaque reste à déterminer.

La Corée du Nord est soupçonnée d’être à l’origine de l’attaque.
http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html
f. Exemples de cyber-attaques célèbres: TV5 Monde
8 avril 2015
Infrastructure de diffusion (multiplexage)
Serveur de messagerie électronique
Coupure du réseau informatique
Site Web
Page officielle FB
f. Exemples de cyber-attaques célèbres: TV5 Monde

Quelques exemples d’attaques ciblant l’enseignement
Défacement de site
Vol de données
personnelles
Quelques exemples d’attaques ciblant l’enseignement
Vol de données
professionnelles
Rebond pour fraude externe

f. Exemples de cyber-attaques célèbres: 2017
Cyberattaque Date Pays Détails
Région
Le virus WannaCry a paralysé plus de 300 000
ordinateurs de sociétés multinationales et de services
publics dans 150 pays.
Parmi les victimes : Renault, FedEx, l'opérateur de
WannaCry mai 2017 Monde
télécoms espagnol Telefonica, la compagnie ferroviaire
allemande Deutsche Bahn.
Les pertes économiques varient entre 4 et 8 milliards
USD.
Le ransomware NotPetya s'est propagé plus vite que le
virus WannaCry. Il a d'abord touché des banques, des
aéroports et des structures gouvernementales en
Ukraine. Il a ensuite frappé la société pétrolière russe
NotPetya juin 2017 Monde
Rosneft, l'allemand Beiersdorf (Nivéa), Auchan, le grand
armateur Maersk, FedEx et Mondelez.
La facture est estimée à 10 milliards USD, dont 3
milliards USD de pertes assurées.

Région
Le groupe hôtelier Marriott International a subi un

Piratage massif de
piratage massif.
Marriott 2018 Monde
Suite à une faille de sécurité informatique, les données
International
de 500 millions de clients ont été dérobées.
Une série d'attaques informatiques a visé des noms de

domaine dans le monde.
Attaques Selon l'organisme international qui attribue les adresses
informatiques février 19 Monde Internet (Icann), les pirates ont attaqué des
massives gouvernements, des services de renseignements ou de
police, des compagnies aériennes, des sociétés
pétrolières au Moyen-Orient et en Europe.
Région
Vol de données de
la banque juillet USA Vol de données personnelles de 106 millions de clients
américaine Capital 2019 Canada de la banque américaine Capital One.
One
Le réseau informatique de Baltimore a été infecté par

un ransomware. La ville est restée paralysée pendant
Ransomware mai 2019 USA
plusieurs semaines. Les dommages sont estimés à 18
millions USD.
Le groupe français Eurofins, spécialisé dans la bio-

Attaque analyse, a subi une cyberattaque via un rançongiciel.
informatique juin 2019 France Cette attaque a entamé la rentabilité du groupe et a
d'Eurofins impacté son chiffre d'affaires semestriel à hauteur de
70 millions USD.
Quelques statistiques:
Quelques statistiques:
Quelques exemples d’attaques qui pourraient arriver
Cyberattaques sur la voiture

connectée envisagées en 2020
Exemple : Prise de contrôle du
système de frein
Déploiement des smart grid

prévu à l’horizon 2030
Exemple : Blackout sur une
grille.
-2-
Les métiers
a) Perspectives d’embauche
b) Profils et Carrières
c) Cartographie des métiers SSI
d) Positionnement des métiers SSI au sein des organisations

2. Les métiers de la sécurité informatique
a. Perspectives d’embauche
Enjeu majeur
 Renforcement du poids des experts en sécurité dans les entreprises
Métiers divers et souvent mal connus
Compétences techniques très pointues
Compétences transversales:
adaptabilité et flexibilité
respect des règles de confidentialité

curiosité intellectuelle
communication écrite et orale
anglais en contexte professionnel

Métiers avec une forte demande annoncée pour les 15 prochaines années :
 progression de la virtualisation de IT et des réseaux,
 révolution digitale des services aux usagers (BToC) et entre entreprise
(BtoB),
 Internet des objets…
Dans tous les secteurs privés banque, industrie, commerce…
Ainsi que dans le secteur public : administration, collectivité territoriale,
hôpitaux, universités…
Mais surtout au sein de sociétés de service, principaux employeurs de
diplômés depuis 20 ans pour intervenir en sous-traitance ou assistance
technique pour les entreprises et les administrations :
les organisations tendent à se concentrer sur leur métier et faire de la
délégation de service pour les fonctions supports dont la sécurité.
Exemples d’organisations spécialisées dans la cybersécurité et qui

recrutent :
 Éditeurs/Constructeurs de produit de sécurité (anti-virus, boitier de chiffrement, pare-feu,
ICG…) : développement, marketing et vente ;
 Tiers de confiance qui exploite des infrastructures pour des clients (produits/services de
sécurité en mode IaaS, Saas) : conception et déploiement, exploitation, marketing et vente ;
 Sociétés de service/cabinet de conseil : conseil, expertise, audit… ;
 Organismes étatiques comme l’ANSSI, ministère de la défense (DGSE, Armées), ministère de
l’intérieur (DGSI, police judiciaire, gendarmerie nationale), la CNIL : conseil, expertise, audit… ;
 Entreprises proposant ou gérant des SOC.

b. Profils et carrières
RSO : Responsable de la Sécurité Opérationnelle
RSSI : Responsable de la Sécurité des Systèmes d’Information
Administrateur Sécurité
Analyste en surveillance réseau.
Pentesteur: Testeurs d'intrusion
Architecte de sécurité
Conseiller en sécurité de l'information
Conseiller en prévention fraude
Spécialiste en réponse aux incidents
Spécialiste en gestion de crise cyber
Chef de projet sécurité
Consultant sécurité « organisationnel »
Consultant sécurité « technique »
https://www.ssi.gouv.fr/uploads/2016/05/liste_metiers_ssi_v4_secnumedu_anssi.pdf
Responsable de la Sécurité des Systèmes d’Information (RSSI) : définit la

politique de sécurité du SI et veille à son application ; il assure un rôle de
conseil, d’assistance, d’information, de formation et d’alerte.
Architecte [système, logiciel] sécurité : l’architecte sécurité structure les

choix techniques, technologiques et méthodologiques d’un ensemble
[système, logiciel] répondant à des exigences de sécurité.
Développeur [produit, logiciel] de sécurité : le développeur de sécurité

assure le sous-ensemble des activités d’ingénierie nécessaires à la
réalisation d’éléments [produit, logiciels] répondant à des exigences de
sécurité.
Technicien ou Administrateur système et réseau : assure ou est responsable

de diverses activités de support, de gestion ou d’administration de la sécurité
aux plans techniques ou organisationnel.
Analyste : assure la veille sur les vulnérabilités des produits et logiciel, ,

recherche et détecte les incidents de sécurité coordonne le suivi de
l’application des correctifs.
Auditeur Organisationnel : contrôle la prise en compte de la sécurité au

niveau organisationnel sur la gouvernance, les procédures de sécurité
notamment vis-à-vis de la nome ISO27K. Il vérifie la conformité des mesures
mises en œuvre.
Auditeur Technique : contrôle les configurations des équipements et logiciels.

Il est en mesure de pénétrer les défenses d’un système d’information et
d’identifier les divers chemins d’intrusions possibles et leurs conséquences. Il
vérifie l’efficacité des mesures en place pour protéger le système.
4.2.Les
Lesmétiers
métiers de la sécurité informatique
La majeure partie des postes SSI sont occupés actuellement par des personnes
ayant une formation informatique ou télécom, s’étant spécialisées au cours de leur
carrière par des formations / certifications.
Certaines certifications en SSI peuvent être effectuées en 5 jours et se terminer par
un examen comme par exemple :
ISO 27001 Lead Auditor Compétence Technique : X
ISO 27001 Lead Implementor Compétence Management : XXX
ISO 27005 Risk Manager

CISSP : Certified Information System Security Professional Compétence Technique : XX
Compétence Management : XXX
CEH : Certified Ethical Hacker Compétence Technique : XXX
Compétence Management : X
On note depuis une dizaine d’années, un accroissement des formations

spécialisées en sécurité de niveau bac+4/5. Elles permettent généralement de
démarrer une carrière sur des postes qui requièrent des compétences techniques.
Possibilité de progression de carrière depuis la production technique jusqu’à de la

direction/management en passant par de la vente ou du marketing de
produits/services.
CISSP: Professionnel certifié en sécurité des systèmes d’information
CCSP: Professionnel certifié de la sécurité des nuages
CEH: Hacker éthique certifié
CISM: Gestionnaire certifié de la sécurité de l’information
CHFI: Enquêteur judiciaire sur le piratage informatique
CISA: Auditeur de systèmes d’information certifié
CompTIA Security+
ISO/IEC 27001 - Lead Auditor
ISO/IEC 27001 - Lead Implementer
ISO/IEC 27005 - Risk Manager et Mehari
ISO 27032 - Lead Cybersecurity Manager
CCNP SECURITY
(SCOR: Implementing and Operating Cisco Security Core Technologies)
4.2.Les
Lesmétiers
c. Cartographie des métiers et compétence en SSI
Les métiers se répartissent dans les familles de l’informatique et des réseaux.
Nb année Compétence Compétence
expérience technique management
Gouvernance des systèmes d’information
•Responsable ou Directeur 15 à 20 X XXX
•Chef de projet / Consultant MOA 5 à 15 XX XX
Conception et déploiement de système d’information
•Chef de projet / Consultant MOE 5 à 15 XX XX
•Architecte système 10 à 15 XXX
Développement logiciel et matériel
•Architecte/concepteur logiciel/composant 5 à 10 XXX
•Développeur logiciel (dont cryptologue) 0 à 10 XXX
Exploitation
•Technicien système et réseau 0 à 10 XXX
•Administrateur système et réseau 0 à 10 XXX X
•Analyste veille/gestion des incidents/forensics 0 à 10 XXX X
Validation / Audit
•Auditeur technique SSI (dont test intrusion) 0 à 10 XXX X
•Auditeur organisationnel SSI 5 à 10 X X
Compétence requise : X : peu de compétence XX : niveau moyen XXX : forte compétence
4.2.Les
Lesmétiers
d. Positionnement des métiers au sein des organisations
La cybersécurité est transverse à toute activité qui requiert de l’informatique et des
réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé
ou public.
Direction systèmes d’information Responsable SSI : gouvernance et

et télécom gestion de crise
Etudes et services d’ingénierie Ingénieurs d’étude SSI : analyse de

Fonctions
MOA/MOE risque, politique de sécurité, audit
Opérationnels SSI :
Exploitants intégration,
configuration,
Administrateurs
administration,
Techniciens supports supervision et
réaction
4.2.Les
Lesmétiers
d. Positionnement des métiers au sein des organisations
Selon la taille de l’organisation (PME/PMI/Grande entreprise…), les fonctions liées à la

cybersécurité nécessitent une charge de travail qui varie. Il est possible d’avoir du personnel
à temps partiel ou du personnel dédié à la sécurité.
Et cela sur l’ensemble des couches depuis la gouvernance jusqu’à l’opérationnel : par
exemple.
ETP = Équivalent Temps Plein PME/PMI Grande entreprise
DSI = Direction des Systèmes d’Information DSI 15 pers DSI 500 pers
SSI = Sécurité des Systèmes d’Information
PSSI = Politique de Sécurité des Systèmes d’Information
3 à 5 ETP
Responsable SSI : ¼ ETP du Dir. du
gouvernance et gestion de crise S.I.
5 à 10 ETP
Ingénieurs d’étude SSI : ¼ ETP des études
analyse de risque, mise en œuvre PSSI, audit… S.I.
20 à 50 ETP si H24
Opérationnels SSI : intégration, configuration, 1 ETP réparti sur 7/7
administration, supervision et réaction l’exploitation du
S.I.
4.2.Les
Lesmétiers
e. Cartographie des métiers et compétence en SSI
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Expression de besoin /
maitrise d’ouvrage (MOA) veille des vulnérabilités
/ analyse forensics
Conception d’architecture /
Validation / audit organisationnel
maitrise d’œuvre (MOE)
/ test intrusion
Développement logiciel ou Intégration de produit /

composant matériel déploiement d’architecture
Gouvernance de la sécurité
2.2.Intégrer
Les métiers de la dans
la sécurité sécurité informatique
les projets
e. Cartographie des métiers et compétence en SSI

Phases
Implémentation, Exploitation / Gestion des

Étude Conception
déploiement Maintenance incidents, des crises
Ingénieur de sécurité, architecte de

sécurité, développeur de sécurité,
Investigateur numérique
Métiers
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Consultant
Analyste dans un SOC

-3-
Les besoins de sécurité
a) Introduction aux critères DIC

b) Besoin de sécurité : « Preuve »
c) Différences entre sureté et sécurité
d) Exemple d’évaluation DICP
e) Mécanisme de sécurité pour atteindre les besoins DICP
3. Les besoins de sécurité
a. Introduction aux critères DIC
Comment définir le niveau de sécurité d’un bien du S.I. ?
Comment évaluer si ce bien est correctement sécurisé ?
3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C.
Disponibilité
Propriété d'accessibilité au moment voulu des biens par les personnes
autorisées (i.e. le bien doit être disponible durant les plages d’utilisation
prévues)
Intégrité
Propriété d'exactitude et de complétude des biens et informations (i.e.
une modification illégitime d’un bien doit pouvoir être détectée et corrigée)
Bien à
Confidentialité protéger
Propriété des biens de n'être accessibles qu'aux personnes autorisées
b. Besoin de sécurité « Preuve »
Comment définir le niveau de sécurité d’un bien du S.I. ?
Comment évaluer si ce bien est correctement sécurisé ?
1 critère complémentaire est souvent associé au D.I.C.
Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
lesquelles ce bien évolue. Cette propriété englobe
Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
Bien à
protéger
c. Différences entre sureté et sécurité
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.
Sûreté Sécurité
Protection contre les dysfonctionnements Protection contre les actions malveillantes
et accidents involontaires volontaires
Exemple de risque : saturation d’un point Exemple de risque : blocage d’un service,
d’accès, panne d’un disque, erreur modification d’informations, vol d’information
d’exécution, etc.
Quantifiable statistiquement (ex. : la Non quantifiable statistiquement, mais il est

durée de vie moyenne d’un disque est de possible d’évaluer en amont le niveau du
X milliers d’heures) risque et les impacts
Parades : sauvegarde, Parades : contrôle d’accès, veille sécurité,

dimensionnement, redondance des correctifs, configuration renforcée, filtrage…*
équipements…
* Certaines de ces parades seront présentées dans ce cours
c. Différences entre sureté et sécurité
Sûreté : ensemble de mécanismes mis en

place pour assurer la continuité de
fonctionnement du système dans les
conditions requises.
Sécurité : ensemble de mécanismes

destinés à protéger l'information des
utilisateurs ou processus n'ayant pas
l'autorisation de la manipuler et d’assurer
les accès autorisés.
Le périmètre de chacune des 2 notions

On constate sur le schéma que
n’est pas si clairement délimité dans la
la notion de sécurité diffère
réalité : dans le cas de la voiture
selon le contexte :
connectée on cherchera la sécurité et la
• sécurité ► innocuité
sûreté.
• sécurité ► immunité
d. Exemple d’évaluation DICP
Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une échelle
permet de déterminer si ce bien est correctement sécurisé.
L’expression du besoin attendu peut-être d’origine :

Interne : inhérente au métier de l’entreprise
ou externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise.
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très fort) :
Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Niveau de Preuve du bien Faible
Le bien bénéficie d’un niveau de sécurité adéquat

d. Exemple d’évaluation DICP
• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :
Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site Un faible niveau de confidentialité
web est nécessaire, sans quoi suffit. En effet, les informations
l’entreprise ne peut atteindre son contenues dans ce site web sont
objectif de faire connaitre ses services publiques par nature!
au public
Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des
informations présentées est
web Un faible niveau de preuve suffit.
nécessaire. En effet, l’entreprise ne En effet, ce site web ne permet
souhaiterait pas qu’un concurrent aucune interaction avec les
modifie frauduleusement le contenu du utilisateurs, il fournit simplement
site web pour y insérer des des informations fixes.
informations erronées (ce qui serait
dommageable)
e. Mécanismes de sécurité pour atteindre les besoins DICP
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
D I C P
Mécanisme technique permettant de détecter toute attaque
Anti-virus virale qui a déjà été identifiée par la communauté sécurité   
Mécanisme permettant d’implémenter du chiffrement et des

Cryptographie signatures électroniques   
Équipement permettant d’isoler des zones réseaux entre-elles
Pare-feu et de n’autoriser le passage que de certains flux seulement  
l’accès en
Contrôles d’accès Mécanismes permettant de restreindre
lecture/écriture/suppression aux ressources aux seules   
logiques personnes dument habilitées
Sécurité physique des Mécanismes de protection destinés à protéger l’intégrité

physique du matériel et des bâtiments/bureaux.
  
équipements et locaux
e. Mécanismes de sécurité pour atteindre les besoins DICP

D I C P
Capacité d’audit Mécanismes organisationnels destinés à
s’assurer de l’efficacité et de la pertinence des
mesures mises en œuvre. Participe à
l’amélioration continue de la sécurité du S.I.    
Clauses Mécanismes organisationnels destinés à

contractuelles s’assurer que les partenaires et prestataires
avec les partenaires mettent en œuvre les mesures nécessaires    
pour ne pas impacter la sécurité des S.I. de
leurs clients
Formation et Mécanismes organisationnels dont l’objectif est

sensibilisation d’expliquer aux utilisateurs, administrateurs,
techniciens, PDG, clients, grand public, etc. en
   
quoi leurs actions affectent la sécurité des S.I.
Diffusion des bonnes pratiques de sécurité.
Le cours actuel en est une illustration !
-4-
Notions de
vulnérabilité, menace, impact, risque,
mesure, attaque
a) Notion de « Vulnérabilité »
b) Notion de « Menace »
c) Notion d’« Impact »
d) Notion de « Risque»
e) Notion de « Mesure de sécurité »
f) Notion d’« Attaque »

4.a- Notion de vulnérabilité
Faiblesse au niveau d’un bien (au niveau de la conception, de la

réalisation, de l’installation, de la configuration ou de l’utilisation
du bien).
Vulnérabilités
Types de Vulnérabilités
Appréciation des vulnérabilités

Appréciation des vulnérabilités

4.b- Notion de « Menace »
Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.
Personnes extérieures malveillantes

Stagiaire
malintentionné
Perte de service
Menaces
Code malveillant
Types de menaces:
Relation vulnérabilité-menace: exemples

4.c- Notion d’« Impact »
4.c- Notion d’« Impact »
Relation vulnérabilité-menace-impact: exemples

4.d- Notion de « Risque »
4.d- Notion de « Risque »
Scénario de risque:
4.e- Notion de « Mesure de sécurité »
Relation objectifs-mesures:
Classification des mesures de sécurité:

Classification des mesures de sécurité:

4.f- Notion d’« Attaque »
Action malveillante destinée à porter atteinte à la sécurité d’un

bien. Une attaque représente la concrétisation d’une menace,
et nécessite l’exploitation d’une vulnérabilité.
Attaques
4.f- Notion d’« Attaque »
Une attaque ne peut donc avoir lieu (et réussir)

que si le bien est affecté par une vulnérabilité.
Ainsi, tout le travail des experts sécurité consiste à s’assurer que le

S.I. ne possède aucune vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces
vulnérabilités plutôt que de viser un objectif 0 inatteignable.
Relation entre les concepts de sécurité
Agent de Donne lieu à

menace
Exploite
Menace
Conduit à
Vulnérabilité
Affecte
directement Risque
Ressource
Peut endommager
Exposition
Provoque une
Protection Peut être
protégé par
4. Notions de vulnérabilité, menace, attaque
d. Exemples de vulnérabilités :
-5-
Panorama de quelques menaces et attaques
a) Les sources potentielles de menaces

b) Panorama de quelques menaces
c) Hameçonnage & ingénierie sociale
d) Déroulement d’une attaque avancée
e) Violation d’accès non-autorisé
f) Fraude interne
g) Virus informatique
h) Déni de service Distribué (DDoS)
i) Illustration d’un réseau de botnets
5. Panorama de quelques menaces et attaques
a. Sources potentielles de menaces

capacité
Etat
tiers
Groupe de Capacité
cybercriminels degré d’expertise et ressources
de la source de menaces
Concurrents
Exposition
opportunités et intérêts de la
Personnel
source de menaces
interne
Cyber-
délinquant
exposition
Exemple d’une cartographie des principales sources de menaces
qui pèsent sur un S.I.
Attention : cette cartographie doit être individualisée à chaque organisation car toutes les
organisations ne font pas face aux mêmes menaces.
Exemple : le S.I. d’une administration d’état ne fait pas face aux mêmes menaces que le S.I. d’un e-commerce ou d’une université
b. Panorama de quelques menaces
Hameçonnage & Violation d’accès

Fraude interne
ingénierie sociale non autorisé
Déni de service
Virus informatique
distribué
c. Hameçonnage & ingénierie sociale

L’hameçonnage (anglais : « phishing ») constitue une « attaque de masse » qui vise à abuser de la
« naïveté » des clients ou des employés pour récupérer leurs identifiants de banque en ligne ou leurs
numéros de carte bancaire…
1 Réception d’un mail utilisant le logo et les

couleurs de l’entreprise
2 Demande pour effectuer une opération

comme la mise-à-jour des données
personnelles ou la confirmation du mot
de passe
3 Connexion à un faux-site identique à

celui de l’entreprise et contrôlé par
l’attaquant
4 Récupération par l’attaquant des

identifiants/mots de passe (ou tout autre
donnée sensible) saisie par le client sur
le faux site
L’ « ingénierie sociale » constitue une « attaque ciblée » qui vise à abuser de la

« naïveté » des employés de l’entreprise :
• pour dérober directement des informations confidentielle, ou
• pour introduire des logiciels malveillants dans le système d’information de la
banque
par téléphone par réseaux par e-mail

sociaux
les scénarios d’ingénierie sociale sont illimités, avec pour seules limites
l’imagination des attaquants et la naïveté des victimes…
Exemple de phishing ciblant les employés d’un grand groupe français…
Ce lien pointe en fait vers un site frauduleux, et non

pas vers un serveur légitime de l’entreprise
d. Déroulement d’une attaque avancée



d. Déroulement d’une attaque avancée (Exemple)
• Apple indique que :

– Ses services iCloud ou FindMyPhone
n’ont pas été compromis
– les comptes iCloud des stars
concernées ont été compromis par des
attaques ciblées de :
• compte utilisateur
• mot de passe
• questions de sécurité
• Le nombre de tentatives de mots de
Des photos intimes d’acteurs, chanteurs, présentateurs passe avant verrouillage du compte
célèbres stockées sur iCloud d’Apple ont été diffusées en
ligne.
était trop élevé.
Les célébrités incluaient Jennifer Lawrence, Kate Upton, – permettant des attaques par « brute
Rihanna, Kim Kadarshian, Selena Gomez entre autres. force »
• Il semblerait que l’attaque soit de type
« social engineering ».
– permettant de répondre aux questions
de sécurité.
http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803
e. Fraude interne
La fraude interne est un « sujet tabou » pour les entreprises, mais un

véritable sujet d’importance !
Catégories de fraudeurs Vulnérabilités Typologies des fraudes
• Fraudeur occasionnel • Faiblesse des procédures • Le détournement des

de contrôle interne et de avoirs de la clientèle
• Fraudeur récurrent (petites
surveillance des opérations
sommes de manière • Le détournement des
régulière) • Gestion permissive des avoirs de l’entreprise
habilitations informatiques
• Personne qui se fait • La création de fausses
embaucher pour effectuer • Absence de séparation des opérations
une fraude tâches et de rotation • La personne qui fausse
• Fraude en groupe ses objectifs pour
augmenter sa
rémunération
f. Violation d’accès non autorisé : mots de passe faibles
Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme
« ! » ou « _ » et des chiffres) permettent – entre autre – à des attaquants de mener les
actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très
efficaces dans le cadre de mots de passe simples, et sont beaucoup moins efficaces
dans le cas de mots de passe longs et complexes.
Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque
application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les
individus des problématiques des mots de passe. Quelques exemples : la biométrie,
les tokens USB, les matrices papier, la vérification via un code SMS, les « one time
password », etc.
f. Violation d’accès non autorisé : intrusion
Les intrusions informatiques constituent des « attaques ciblées » qui exploitent une ou des
vulnérabilité(s) technique(s) pour dérober des informations confidentielles (ex. : mots de passe, carte
bancaire…) ou prendre le contrôle des serveurs ou postes de travail
Depuis le réseau Internet sur les ressources exposées : sites institutionnels, services de e-commerce, services
d’accès distant, service de messagerie, etc.
Depuis le réseau interne sur l’Active Directory ou les applications sensibles internes
Quelques chiffres issus de tests d’intrusion menés sur de nombreux S.I. :
80% des domaines Active Directory sont compromis

en 2 heures
75% des domaines Active Directory contiennent au moins 1

compte privilégié avec un mot de passe trivial
50% des entreprises sont affectées par un défaut de

cloisonnement de ses réseaux
des tests d’intrusion ne sont pas détectés par les

80% équipes IT
Sources : tests d’intrusion Orange Consulting 2012-2013
Active Directory : est un système d’annuaire sous Windows répertoriant les ressources du réseau notamment les sites, les
machines, les utilisateurs.
g. Virus informatique
Les virus informatiques constituent des « attaques massives » qui tendent…
• à devenir de plus en plus ciblés sur un secteur d’activité (télécommunication, banque, défense, énergie, etc.)
• à devenir de plus en plus sophistiqués et furtifs
Les principaux vecteurs d’infection…

• Message avec pièce-jointe
• Support amovible (clé USB…)
• Site Web malveillant ou piratés
• Partages réseaux ouverts, systèmes vulnérables…
… avec comme conséquences potentielles …

• Installation d’un « cheval de Troie » pour accéder au poste de
travail à distance
• Récupération de données ciblées : cartes bancaires,
identifiants/mots de passe…
• Surveillance à distance des activités : capture des écrans, des
échanges, du son ou de la vidéo !
Quelques virus récents et • Destruction des données des postes de travail
médiatiques : Citadel, Flame, • Chiffrement des données pour une demande de rançon
Stuxnet, Duqu, Conficker, Zeus, • …
Shamoon (Aramco)…
h. Déni de service distribué (DDoS)
Le déni de service distribué (DDoS) constitue une « attaque ciblée » qui consiste à saturer un site
Web de requêtes pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs infectés
et contrôlés par les attaquants
… une menace majeure et en augmentation

pour les sites Internet
34,5 heures
durée moyenne d’une attaque
48,25 Gbps
bande passante moyenne d’une attaque
75 % des attaques au niveau infrastructure

25% des attaques au niveau application
i. Illustration d’un réseau de botnets

Cible de l’attaque
Milliers ou millions
d’ordinateurs infectés,
prêts à attaquer une cible
sur ordre de l’attaquant
Serveurs de
commande
Un botnet est un ensemble de systèmes (relais)
contrôlables par un attaquant via des serveurs
de commande. Les propriétaires de ces
systèmes ne savent pas que leur PC participe à
un botnet (leur PC a été compromis au préalable
et à leur insu via l’exploitation d’une vulnérabilité)
Attaquant contrôlant le botnet
j. Modèle de menaces
Un modèle de menace est une approche structurée qui vous aide à prédire les
menaces potentielles pesant sur la sécurité des informations. La menace potentielle
que vous découvrez lorsque vous effectuez une modélisation des menaces vous
permet de créer un plan précis de gestion des risques. La prédiction des menaces
vous permet de réduire votre risque de manière proactive.
Quizz time
Les données doivent être celles que l'on s'attend à ce qu'elles

soient, et ne doivent pas être altérées de façon fortuite ou
volontaire. De quel objectif de sécurité on parle ?
 Fiabilité
 Intégrité
 Authenticité
 Efficacité
Quizz time
Un bureau d'administration va déterminer les dangers auxquels

il est exposé. Comment appelons-nous un événement possible
qui peut avoir un effet perturbateur sur la fiabilité de
l’information ?
 Dépendance
 Menace
 Vulnérabilité
 Risque
Liens Utiles:
Voici quelques points de départ sur la sécurité informatique. Il vous faudra les explorer pour trouver
des informations précises, des outils, etc. Mais ils font autorité.
https://www.ssi.gouv.fr/entreprise/glossaire/ Glossaire Sécurité Informatique
http://www.sans.org Site web pour les administrateurs système et réseau (Anglais)
http://www.cert.org C.E.R.T mondial (Anglais)
http://www.renater.fr/Securite/CERT_Renater.htm C.E.R.T du réseau Renater (Français)
http://www.securityfocus.org Webzine sur la sécurité (Anglais)
http://www.ossir.org Association sur la sécurité informatique (Français)
http://www.hsc.fr Cabinet de consultants en sécurité informatique (Français)
http://www.owasp.org Site web sur la sécurité des applications web
http://www.matousec.com Comment les firewalls personnels résistent aux troyens
http://www.av-comparatives.com Comparatifs d'antivirus, 'aspect "proactive«
https://www.zataz.com/ Site français attaques, vulnérabilités
https://packetstormsecurity.com/ Pour les vulnérabilités, exploits, articles, discussions
https://www.securityfocus.com/ Pour les vulnérabilités des applications Web
https://www.exploit-db.com/ Pour les exploits
Lab:
a. Architecture
Lab:
b. Kali Linux
Kali Linux est une distribution Linux sortie le 13 mars 2013
Basée sur Debian
La distribution a pris la succession de Backtrack
L'objectif de Kali Linux est de fournir une distribution regroupant l'ensemble

des outils nécessaires aux tests de sécurité d'un système d'information,
notamment le test d'intrusion.
Lab:
c. Metasploitable 2
La machine virtuelle Metasploitable est une version volontairement

vulnérable de Ubuntu Linux conçue pour tester les outils de sécurité et de
démontrer les vulnérabilités courantes.
Cette machine virtuelle est compatible avec VMWare, VirtualBox, et

d'autres plates-formes de virtualisation communes.
Par défaut, les interfaces réseau Metasploitable sont liés au NAT des
adaptateurs réseau Host-only
https://sourceforge.net/projects/metasploitable/files/
Lab:
d. DVWA
DVWA ou Damn Vulnerable Web Application fait généralement partie des

premiers Labs sur lesquels on se penche pour débuter en sécurité des
applications web .
Comprendre pourquoi une vulnérabilité est présente, comment la détecter,

l’exploiter et s’en protéger

Chap-1-Notions de Base de La SI-AG

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chap-1-Notions de Base de La SI-AG

Transféré par

Droits d'auteur :

Formats disponibles

Notions de base

21H = Cours (14 H) + Labs (7H)

Contrôle Continu (Labs+workshop) * 40% + Examen Final écrit * 60%

 Chap1: Notions de base de la sécurité Informatique

Les enjeux de la sécurité informatique

c) Pourquoi les pirates s’intéressent aux S.I. ?

d) La nouvelle économie de la cybercriminalité

e) Les impacts sur la vie privée

f) Quelques exemples d’attaques

Ensemble des ressources destinées à collecter, classifier, stocker,

Mot clé : information, c’est le « nerf de la guerre » pour toutes les

Le S.I. doit permettre et faciliter la mission de l’organisation

site personne matériel réseau logiciel organisation

La sécurité du S.I. consiste donc à assurer

• La sécurité a pour objectif de réduire les risques pesant sur le

• La gestion de la sécurité au sein d’un système d’information n’a pas

– Elle contribue à la qualité de service que les utilisateurs sont en

– Elle garantit au personnel le niveau de protection qu’ils sont en droit

Impacts financiers Impacts sur l’image

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations

• Gains financiers (accès à de l’information, puis monétisation et revente)

• Utilisation de ressources (puis revente ou mise à disposition en tant que

Pourquoi des attaques de réseaux ont-elles lieu (1/2)

Pourquoi des attaques de réseaux ont-elles lieu (2/2)

d. La nouvelle économie de la cybercriminalité

le prix moyen de commercialisation des numéros de

le tarif moyen de location pour 1 heure d’un botnet,

2.399 $ le prix de commercialisation du malware « Citadel »

e. Les impacts de la cybercriminalité sur la vie privée (quelques

e. Les impacts de la cybercriminalité sur les infrastructures critiques

Infrastructures critiques = un ensemble d’organisations parmi les

f. Exemples de cyber-attaques célèbres:

f. Exemples de cyber-attaques célèbres:

La source de l’attaque reste à déterminer.

f. Exemples de cyber-attaques célèbres: TV5 Monde

Rebond pour fraude externe

Cyberattaque Date Pays Détails

Le groupe hôtelier Marriott International a subi un

Une série d'attaques informatiques a visé des noms de

Le réseau informatique de Baltimore a été infecté par

Le groupe français Eurofins, spécialisé dans la bio-

Quelques exemples d’attaques qui pourraient arriver

Cyberattaques sur la voiture

Déploiement des smart grid

c) Cartographie des métiers SSI

d) Positionnement des métiers SSI au sein des organisations

Métiers divers et souvent mal connus

Compétences techniques très pointues

respect des règles de confidentialité

communication écrite et orale

anglais en contexte professionnel

Exemples d’organisations spécialisées dans la cybersécurité et qui

ICG…) : développement, marketing et vente ;

sécurité en mode IaaS, Saas) : conception et déploiement, exploitation, marketing et vente ;

 Sociétés de service/cabinet de conseil : conseil, expertise, audit… ;

 Organismes étatiques comme l’ANSSI, ministère de la défense (DGSE, Armées), ministère de

 Entreprises proposant ou gérant des SOC.

Responsable de la Sécurité des Systèmes d’Information (RSSI) : définit la

Architecte [système, logiciel] sécurité : l’architecte sécurité structure les

Développeur [produit, logiciel] de sécurité : le développeur de sécurité

Technicien ou Administrateur système et réseau : assure ou est responsable

Analyste : assure la veille sur les vulnérabilités des produits et logiciel, ,

Auditeur Organisationnel : contrôle la prise en compte de la sécurité au

Auditeur Technique : contrôle les configurations des équipements et logiciels.